大成研究 蔡开明等：欧盟Europrivacy数据保护认证机制解读

更新时间：2024-11-07 作者：米乐客户端

  欧盟《通用数据保护条例》（“GDPR”）第42条和第43条规定数据控制者或处理者可通过数据保护认证机制证明自身数据处理活动符合GDPR的要求。依据GDPR序言，数据保护认证机制建立的目的是为了更好的提高透明度，通过建立认证机制和数据保护印章，使数据主体能够迅速评估有关产品和服务数据保护等级。GDPR并未对“认证”作出定义，欧盟委员会颁布的相关文件中将数据保护认证解释为“与控制者和处理者的处理操作相关的第三方认证”。

  GDPR第42条规定数据保护认证需经欧盟数据保护委员会批准后可产生通用性认证——欧盟数据保护印章（European Data Protection Seal）。数据控制者或处理者可自愿进行认证，且通过认证也不能减损数据控制者和处理者在GDPR下的义务。数据保护认证期限为三年，认证期限能延续，如认证条件不再符合，将被认证机构或主管机关撤销。GDPR第42条没有对认证内容作出具体要求。

  GDPR第43条规定了数据保护认证机构设置需要具备的资质条件。认证机构应具备独立性和专业性，并满足成员国有权监督管理的机构认可的或依据欧盟《确立关于商品市场营销的认证与市场监督管理的要求的条例》、ISO/IEC 17065/2012《合格评定产品、过程和服务认证机构要求》以及成员国有权监督管理的机构其他的额外要求，认证机构从事认证活动的许可时限为五年。

  GDPR生效后，欧盟委员会于2019年3月发布《数据保护认证机制——GDPR第42条和43条研究》（“《研究报告》”），主要是通过分析解欧盟成员国现有数据保护认证方案和标准，通过选定认证方案为完善GDPR认证制度提出意见。依据《研究报告》，认证适合使用的范围和认证标准分为三类，分别是国家认证、区域认证以及欧盟通用性认证，国家认证仅适用某一个特定的成员国，区域认证适用于某些成员国境内但并非整个欧盟，欧盟通用性认证适用于整个欧盟。

  欧盟数据保护委员于2019年6月4号发布经公开讨论后的《第1/2018号根据GDPR第42和43条认证与识别认证标准的指南终版》和经公开讨论后的《第4/2018号根据GDPR第43条对认证机构许可的指南终版》，两份文件主要对数据保护认证制度涉及的专有名词概念、认证标准评估要求、认证范围和认证机构设置条件等作出详细的解释，并为认证流程开展提供方法论指导。

  2022年6月14日，欧盟数据保护委员会发布了《认证作为跨境传输工具的指南》。GDPR第46条要求数据控制者或处理者在向第三国或国际组织传输个人数据时必须要提供适当的安全保障措施，并在第（2）项（f）款规定，适当安全保障措施可以“根据GDPR第42条被批准的认证机制，以及第三国的控制者或处理者为采取适当的安全保障做出的具有约束力和执行力的承诺，包括数据主体的权利”提供。该文件旨在为适用GDPR第46条第（2）项（f）款项基于认证向第三国或国际组织传输个人数据的行为提供指导，文件主要对认证机构实施认证要求、证明存在适当的保障措施特定认证标准及具有约束力和可执行的承诺等作出探讨。

  2022年9月，欧盟数据保护委员会审议了德国北莱茵-威斯特法伦州数据保护监督管理的机构提交的关于EuroPriSe认证计划的意见，认为EuroPriSe认证标准有几率会使GDPR的应用不一致，需要调整EuroPriSe认证标准内容满足GDPR第42条的要求。2024年7月16号，欧盟数据保护委员会审议通过了EuroPriSe欧盟数据保护认证机制。

  2022年10月10日，欧洲数据保护委员会发布《第28/2022号关于欧洲隐私认证标准的意见》（“《意见》”），该意见批准通过了卢森堡的监督管理的机构根据GDPR第64条第（2）项所提交的“欧洲隐私认证标准”（Europrivacy criteria of certification）。Europrivacy成为根据GDPR第42条项下首个获得批准的欧盟数据保护认证机制。Europrivacy认证机制内容相对较为完善，EuroPriSe认证机制内容具体怎么样开展尚需相关机构进一步解释，因此，下文将主要介绍Europrivacy认证机制。

  数据控制者和处理者都能申请Europrivacy认证，Europrivacy认证可以在任何地方用于评估对GDPR合规义务的遵守情况，但证书交付只限于位于欧盟或欧洲经济区的申请方。

  欧盟认证隐私中心（European Centre for Certification and Privacy，“ECCP”）承担认证计划管理者的职能，负责Europrivacy认证方案管理和更新流程，确保认证计划与法规及技术进步保持一致。ECCP不作为认证机构颁发证书，计划开展保护个人隐私信息的合格认证机构可向ECCP申请成为Europrivacy的认证机构。

  GDPR规定违反GDPR合规义务的组织最高可被处2000万欧元或上一年度营业额4%的罚款。Europrivacy认证将帮助认证组织重新评估合规现状，及时来更新和调整组织可能或已经不符合GDPR和最佳实践的相关组织政策、流程等文件，识别和减少与现有合规差距相关的法律风险和财务风险。

  鉴于Europrivacy涉及由独立第三方对经欧洲数据保护委员会确认的标准开展评估，以评价组织对GDPR的遵守情况，因此获得Europrivacy认证不仅能提高组织数据保护能力透明度，还能促进与个人隐私信息主体、客户、商业伙伴间建立信任。

  增加数据保护能力透明度能大大的提升组织在潜在客户和业务合作伙伴中的声誉，从而在市场之间的竞争中保持优势。数据保护是欧盟监管执法重点，当潜在消费者选择产品或服务以及潜在合作伙伴在选择数据处理者或可能作为共同控制者时，认证对于向潜在消费者和潜在业务合作伙伴表明组织致力于并已采取适当措施遵守GDPR十分重要。

  GDPR只允许对数据处理活动进行认证，而不允许对组织、产品或服务进行认证。因此Europrivacy认证是组织数据处理活动，而不是组织本身。因此，Europrivacy作为认证计划，允许数据控制者和处理者证明一些选定的数据处理活动符合GDPR。

  GDPR第五章第46条第2款（f）项规定组织如经GDPR第42条批准的认证机制，可将个人数据传输至境外。然而，根据《意见》，Europrivacy认证目前不属于个人数据跨境传输认证，事实上，只有遵守GDPR第五章的其他规定（境外第三国属于白名单国家，签订欧盟批准的数据跨境传输标准合同、具备有约束力的公司行为守则，取得个人隐私信息主体同意等），才能将个人数据转移到第三国或国际组织；Europrivacy也不适用于生物医学数据的处理情况。

  选择用于认证的处理活动称为评估目标（Target of Evaluation, “ToE”）。Europrivacy建议组织先选择部分关键的处理活动开展认证，并逐步扩大认证处理活动范围。前期认证活动流程完成后，后续开展认证活动可以借鉴此前认证的资料，后续认证活动能更加高效。控制者和处理者可以再一次进行选择认证特定业务职能、特定部门或整个组织的所有处理活动，也可以决定认证某些处理活动而不认证其他活动。

  Europrivacy提供了一种创新的混合认证模式，根据评估对象包括综合性的认证标准和附加的特定领域和技术标准。附加的特定领域和技术标准是未解决下列三类风险：为数据主体解决特殊义务和风险，包括特定技术领域风险，如人工智能、区块链、物联网等领域的数据处理；特定领域的风险，如与工作环境、智慧城市、金融服务或健康的风险；对数据主体存在高风险的处理活动（处理与刑事指控有关的特殊数据、未成年个人数据、对自然人权利和自由产生高风险）。

  Europrivacy标准的核心是遵守GDPR核心法律要求，组织的数据处活动一定要遵守GDPR核心要求。Europrivacy标准的核心内容最重要的包含以下方面。

  （1）数据处理的合法性：被评估的数据处理活动一定要遵守GDPR第六条的合法性要求，包括获得个人同意、为履行合同所需或为法定义务所需等。

  （2）特殊类型个人数据处理：特殊类型数据包括显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，特殊数据处理需要遵守特定义务，以更安全的方式保护数据主体权益。

  （3）数据主体的权利：组织必须证明其能够响应数据主体的能力，包括查阅、更正、删除、限制处理等权利。

  （4）数据控制者责任：“数据控制者”是决定数据处理目的的组织，包括数据的收集、存储和使用方式等，以及处理活动是不是满足GDPR合规义务。数据控制者的主要责任是确保所有受监管流程的合规性。

  （5）数据处理者和次处理者：“数据处理者”是依据数据控制者指示处理数据的组织，不能单独决定数据处理目的。数据处理者也应遵守GDPR要求。与数据控制者相比，数据处理者的义务会略有减少。

  （6）设计处理和数据保护的安全性：数据处理流程和相关系统模块设计和维护都必须从处理活动开始考虑安全性和隐私性。

  （7）数据泄露管理：组织一定要制定流程和政策来管理数据泄露，预防、采取补救措施和向监管或个人通知数据泄露。

  （8）数据保护影响评估：组织应通过开展数据保护影响评估（DPIA），识别处理个人数据的风险，以及减轻这些风险。

  （9）数据保护官：组织应设立数据保护官（DPO）来监督组织内的数据处理活动，增强组织内数据保护意识并开展培训等。

  （10）个人隐私信息跨境传输是否提供适当安全保障。将个人数据传输至欧盟境外第三国是否采取了GDPR第五章规定的保护措施。

  GDPR核心标准由“补充检查和控制”补充，以评估申请人是不是满足可能适用于评估对象的特定领域和特定技术的义务。

  技术和组织措施检查和控制旨在评估保护处理数据的措施的充分性。除高风险数据处理外，获得ISO/IEC 27001认证，可以证明处理解决措施满足本项规定要求的充分性。

  Europrivacy通过两种工具支持对补充性国家义务的遵守情况做评估。

  a）欧洲经济区各成员国的国内法合规义务简介。这些资源可用于编写国家义务合规性评估报告（NOCAR）。

  b）Europrivacy国家标准扩展，用于评估和认证ToE是不是满足补充性国家数据保护法规。这些扩展是可选的，组织可在自愿的基础上用于将欧洲隐私权认证扩展到相应的非欧盟司法管辖区。

  5. 通过使用官方认可的“欧洲数据保护印章”来证明组织对数据处理活动合规性的重视并证明数据处理活动合规性；

  以上每个步骤都有专门的在线资源、指南、文档和模板支持，可在官方网站上获取。合格的合作伙伴也将提供解决方案，以简化和加快对Europrivacy标准合规性的记录。一旦第一个评估目标获得认证，则该目标进行认证时所使用的大部分支持文件都可在其他数据处理活动认证中重复使用，从而使后续认证更加便捷。

  4. 检查数据处理活动是不是合乎法律（如基于数据主体的同意，确保在数据处理前数据主体已知情，并收到数据主体自由、明确的表达同意处理）；

  5. 评估数据主体的权利和自由所面临的风险，并在适用的情况下执行数据保护影响评估（DPIA）；

  8. 采取适当的数据保护政策、规则和程序，包括访问控制、备份和数据保留期、数据主体权利、数据处理者以及跨境传输个人数据；

  13. 最高管理层应至少每年对内部审计结果和风险评估进行一次审查。最高管理层应针对发现的薄弱环节制定具体的行动计划。

  在常规流程中，申请人将在整一个完整的过程中得到合格服务提供方（咨询机构或律所和认证机构）的支持，合作服务提供方可自行决定服务费用，不同国家的费用也可能因当地成本而异。

  完成认证后，合格的认证机构将在ECCP管理的“欧洲隐私证书登记处”公布证书，以验证证书的真伪，防止伪造。Europrivacy官网 “Welcome Pack” 中包含首批证书的公布费用。其他证书的公布费用由合格的认证机构收取并支付给ECCP。

  我国个人隐私信息认证在法律层面上的规定出现在《个人隐私信息保护法》第38条，即个人隐私信息处理者合法传输个人隐私信息的路径之一是通过个人信息保护认证。早在2019年3月15日，国家市场监督管理总局和中央网信办（“两部门”）为规范App收集和使用用户个人信息，根据《网络安全法》和《认证认可条例》，决定开展App安全认证，并发布了《移动互联网应用程序（App）安全认证实施规则》。2022年6月5日，两部门公布了《数据安全管理认证实施规则》（“《实施规则》”）。2022年11月4日，两部门又发布了《关于实施个人隐私信息保护认证的公告》（“《公告》”）。《实施规则》和《公告》旨在鼓励数据处理者通过认证规范数据处理活动。

  和GDPR一样，《个人隐私信息保护法》认证的对象也是数据处理活动，即个人隐私信息跨境传输活动，《细则》和《公告》也细化明确数据保护认证是对数据处理者开展数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证。

  在认证申请主体上，《个人隐私信息保护法》只有“个人隐私信息处理者”的概念，“个人隐私信息处理者”是指在个人隐私信息处理活动中自主决定处理目的和方式的组织，相当于GDPR下的数据控制者，因此严格意义上，《个人隐私信息保护法》个人隐私信息受托者不属于数据保护认证的申请主体。

  在立法目的上，中国数据保护认证机制和GDPR的侧重点是不同的。《个人隐私信息保护法》关注的重点是将个人隐私信息跨境认证作为评估个人隐私信息跨境传输的合法路径，GDPR数据保护认证机制是为增强数据控制者和处理者处理数据的透明度。根据《公告》，我国个人隐私信息保护认证的依据是GB/T 35273-2020《信息安全技术个人信息安全规范》（“35273”），35273的内容与Europrivacy认证核心标准中覆盖范围高度重合，且35273的内容更加细致。2022年12月16日，全国信安标准委员会又发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》，对个人信息跨境传输认证处理作出了系统具体的要求。

  Europrivacy公布了符合GDPR的认证机构和咨询辅导机构清单，但《实施规则》和《公告》没有规定认证机构设立的程序，官方目前也尚未公布认证机构完整清单，我国个人信息保护认证实现路径仍需进一步解释。

  从目前Europrivacy公开的信息来看，认证过程以线上服务即订阅“Welcome Pack”的方式来进行审核。我国个人隐私信息保护认证流程模式为“技术验证(技术验证机构按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告)+现场审核(认证机构实施现场审核，并向认证委托人出具现场审核报告)”。

  Europrivacy认证和我国个人隐私信息保护认证的期限均是三年，认证机构均将采用获证后监督的方式，Europrivacy认证对到期符合认证要求的组织延长认证期限，我国个人隐私信息保护认证会对到期的组织焕发新证。

  中国企业如涉及在欧盟开展业务，通过Europrivacy认证将有利于提升企业的合规水位。Europrivacy认证机制下符合GDPR第43条规定的认证机构须在欧盟境内注册，目前Europrivacy认证机制下有资质的认证机构包括DNV（挪威船级社管理服务集团，世界领先的认证和风险管理机构之一）、Certop、Eurofins（欧陆集团）等，合规的咨询机构或律所包括Dentons（Dentons在中国优先合作的律所为大成律师事务所）、Osborne Clarke等，专家伙伴包括Archimede Solutions等，技术服务商包括Smart Global Governance等。

  企业可选择通过外部认证咨询机构评估数据处理活动的合法性，如梳理处理数据字段类型、核查隐私文本完备性、检查数据保护制度是否有效落实等。通过摸排现状，公司能够更精确地识别风险，优化完善数据保护文件，确保充分理解认证机构要求，及时纠正不合规项以便快速通过认证。

  大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处标注明确来源。没有经过授权，不得转载或使用该等文章中的任何内容。

  1. 蔡开明等：美国、欧盟以外其他几个国家对俄制裁、管制措施及中国企业的合规应对

  3. 《钱伯斯2022大中华指南》蔡开明等：中国海关、出口管制与经济制裁概述

  7. 蔡开明等：美将33家中国实体列入出口管制“未经核实名单”，中企如何应对

  9. 蔡开明等：跨境数据合规 - 《数据安全法》解读与企业合规管理的三个建议

  10. 蔡开明等：《防止强迫尔人劳动法》下执法战略公布，第一批黑名单落地！

  12. 蔡开明等：《移动互联网应用程序信息服务管理规定》要点解读+法规对比

  13. 蔡开明等：美国商务部2022年出口管制年会召开，持续关注中国、聚焦半导体产业

  16. 蔡开明等：美国、欧盟、英国宣布对俄罗斯实施进一步制裁的背景之下，涉俄企业风险分析及合规应对

  17. 蔡开明等：《个人隐私信息出境标准合同备案指南（第一版）》发布，企业如何顺利完成个人信息出境

  22. 蔡开明等：美国BIS发布新规，逐步扩大对俄罗斯、白俄罗斯的出口管制措施范围

  23. 蔡开明等：简析美国商务部发布美国基础设施即服务（IaaS）相关拟议规则对中国企业的影响

  27. 蔡开明等：美国商务部发布联网车辆规则预先通知——解读并探讨中国企业的合规建议

  28. 蔡开明等：美国总统拜登签发第14116号行政命令，以加强美国港口网络安全

  29. 蔡开明等：美国三部门联合发布合规说明，重点提示外国主体应遵守美国制裁与管制规则

  32. 蔡开明等：美国BIS发布两项关于新增最终用户和最终用途管控的拟议规则

  34. 蔡开明等：美国供应链安全审查——拟禁止采购涉及中、俄的网联车软硬件

  来源：环球网 【环球网报道】当地时间11月6日，乌克兰总统泽连斯基在社会化媒体X上发文祝贺美国共和党总统候选人特朗普在美国大选中获胜。“祝贺特朗普在选举中取得令人瞩目的胜利！”泽连斯基写道，并表示期待亲自向特朗普表示祝贺，并讨论加强乌克兰与美国战略伙伴关系等话题。

  近日，有深圳市民通过人民网“领导留言板”反映，深圳人行道安全感不足，建议禁行电瓶车并规划非机动车道。深圳市公安局回应，市交警将配合市交通局加速非机动车道建设并强化非机动车安全管理。

  近日，海军辽宁舰编队圆满完成年度远海实战化训练，安全顺利返回母港。训练期间，编队转战黄海、东海、南海等多个海域，开展实战背景下多个科目综合演练，官兵全程保持高度戒备、随时反应的作战状态。在南海某海域，辽宁舰、山东舰编队首次开展双航母编队演练，锤炼提升航母编队体系作战能力。

  来源：外交部网站 问：美国总统选举结果已经揭晓，共和党候选人特朗普当选。中方对此有何评论？答：我们尊重美国人民的选择，对特朗普先生当选总统表示祝贺。

  央视网消息：今年，财政部安排新增地方政府专项债3.9万亿元，比去年增加1000亿元，是历年来顶级规模的一次，对重要民生工程建设起到了有力保障作用。随着近期一揽子增量政策陆续发布，大量专项债资金加速落地，带动财政支出明显加快。

  金秋时节，新疆沙雅的胡杨美的如诗如画，金灿灿的叶在阳光的沐浴下熠熠生辉。胡杨林的美不仅在于它的外表，更在于它所代表的顽强生命力！

  来源：谈小厨免责声明：图文源于网络，版权属于原本的作者所有，若侵权请联系小编删除，文章的主要内容不代表平台观点。1.蒸苹果2.冰糖烤雪梨3.青橄榄雪梨瘦肉汤4.雪梨金桔汤5.

  文 招财小羊编辑 招财小羊“如果有八个瑞士卷，我能吃几个？”“你能吃8个！”瑞士卷自己都没想到，一觉醒来自己竟成了大网红，更成为了众多男人的“高考题！”但如今再回过头看，很多人都觉得，这件事情来得实在太“蹊跷”！这一切的起因，主要是归功于一位宝妈发布的视频。

  美国大选实时选情：美媒预测特朗普暂获277张选举人票 哈里斯暂获224张

  当地时间11月6日，美国总统大选计票仍在进行。根据多家美媒最新公布的初步测算，特朗普目前已获得277张选举人票超过胜选所需的270张选举人票提前锁定胜局。而哈里斯得票数暂为224张。